本文書は、以下の英語版(https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/)の翻訳です。本翻訳版は、参照を容易にし、便宜上の目的でのみ提供されています。矛盾や曖昧さが生じた場合は、常に英語版が優先されるものとします。
—
2024-07-27 0025 UTCに更新
インシデント事後のプレレビュー(PIR)
FalconセンサーとWindowsオペレーティングシステム(BSOD)に影響を及ぼしたコンテンツコンフィグレーションの更新について
この文書は、クラウドストライクによるインシデント事後のプレレビュー(PIR)です。調査の詳細については、近日中に公表される「根本原因分析」で報告を予定しています。このPIR全体を通し、読みやすさを向上させるため、Falconプラットフォームを説明するために一般化された用語を使用しています。他の文書の用語の方が、より具体的で専門的な場合があります。
発生事象について
2024年7月19日(金)04:09(UTC時間)、クラウドストライクは通常運用の一環として、可能性のある新たな脅威手法に関するテレメトリを収集するため、Windowsセンサーのコンテンツコンフィグレーションの更新をリリースしました。
これらの更新は、Falconプラットフォームの動的な保護メカニズムの定例項目の一部として行われます。問題のあったラピッドレスポンスコンテンツのコンフィグレーションの更新が原因となり、Windowsシステムがクラッシュしました。
対象システムには、センサーバージョン 7.11以上を実行しているWindowsホストで、2024年7月19日(金)04:09(UTC時間)から2024年7月19日(金)05:27(UTC時間)の間にオンラインになり、更新を受け取ったものが含まれます。MacホストとLinuxホストは影響を受けませんでした。
コンテンツ更新の不具合は、2024年7月19日(金)05:27(UTC時間)に修正されました。この時間以降にオンラインになったシステムや、該当する時間帯に接続しなかったシステムには影響はありませんでした。
問題の内容と原因について
クラウドストライクは、2つの方法でセンサーにセキュリティコンテンツコンフィグレーションの更新を提供しています。「センサーコンテンツ」は、当社のセンサーに含まれる形で直接リリースされ、「ラピッドレスポンスコンテンツ」は、変化する脅威の状況に迅速に対応するために設計されています。
発生した問題は、未検出のエラーがあったラピッドレスポンスコンテンツに関係しています。
センサーコンテンツ
センサーコンテンツは、攻撃者への対応をサポートする幅広い機能を提供しています。この機能は常にセンサーリリースに含まれており、クラウドから動的に更新されるものではありません。センサーコンテンツには、オンセンサーAIと機械学習モデルが含まれ、クラウドストライクの脅威検知エンジニアのために長期的で再利用可能な機能を提供するために明示的に書かれたコードで構成されています。
これらの機能には、脅威検知エンジニアがラピッドレスポンスコンテンツで活用するために、あらかじめ定義されたフィールドを持つテンプレートタイプが含まれます。テンプレートタイプはコードで記述されます。テンプレートタイプを含むすべてのセンサーコンテンツは、自動及び手動テスト、検証、ロールアウトのステップを含む、広範なQAプロセスを通ります。
センサーリリースのプロセスはまず、コードベースのマージ処理前後の両方で自動化されたテストを行うことから開始されます。このテストには、ユニットテスト、インテグレーションテスト、パフォーマンステスト、ストレステストが含まれます。この段階的なセンサーのロールアウトプロセスは、クラウドストライク社内のドッグフーディングから始まり、その後アーリーアダプターに進んで完結されます。その後、一般公開されお客様にご利用いただけるようになります。お客様は、センサーアップデートポリシーを通じて、環境内のどの部分に最新のセンサーリリース(「N」)、または1つ前のバージョン(「N-1」)、または2つ前のバージョン(「N-2」)をインストールするかを選択できます。
2024年7月19日(金)の事象は、更新されたFalconセンサーのリリースによってのみ配布されたセンサーコンテンツによって引き起こされたものではありません。お客様は、センサーの展開(センサーコンテンツとテンプレートタイプを含む)に関して完全にコントロールすることができます。
ラピッドレスポンスコンテンツ
ラピッドレスポンスコンテンツは、高度に最適化されたエンジンを使用し、センサー上でさまざまな行動パターンマッチング操作を実行するために用いられます。ラピッドレスポンスコンテンツは、フィールドと値の集合体であり、関連するフィルタリングを備えています。ラピッドレスポンスコンテンツは、コンフィグレーションデータを含む独自のバイナリファイルに保存されます。これはコードでもカーネルドライバでもありません。
ラピッドレスポンスコンテンツは、指定されたテンプレートタイプのインスタンス化である「テンプレートインスタンス」として提供されます。各テンプレートインスタンスは、センサーが観察、検知、または防御するための特定の振る舞いにマッピングされます。テンプレートインスタンスには、必要な振る舞いに合わせて設定可能なフィールド一式が用意されています。
つまり、テンプレートタイプは、新たなテレメトリと検知を可能にするセンサー機能に相当し、その実行時の動作は、テンプレートインスタンス(すなわち、ラピッドレスポンスコンテンツ)によって動的に設定されます。
ラピッドレスポンスコンテンツは、センサーコードを変更する必要なく、センサー上の可視性と検知を提供します。この機能は、脅威検知エンジニアがテレメトリを収集し、攻撃者の振る舞いの指標を特定し、検知と防御を実行するために使用されます。ラピッドレスポンスコンテンツは、振る舞いに関しては経験則であり、クラウドストライクのオンセンサーAIの防御と検知の機能とは別個のものです。
ラピッドレスポンスコンテンツのテスト実施と展開
ラピッドレスポンスコンテンツは、Falconセンサーへのコンテンツコンフィグレーションの更新として提供されます。当システムには、コンテンツコンフィグレーションシステム、コンテンツインタープリター、センサー検知エンジンの3つの主要なシステムがあります。
コンテンツコンフィグレーションシステムはクラウド上のFalconプラットフォームの一部であり、コンテンツインタープリターとセンサー検知エンジンはFalconセンサーの構成要素です。コンテンツコンフィグレーションシステムは、テンプレートインスタンスを作成するために使用されます。テンプレートインスタンスは、チャネルファイルと呼ばれるメカニズムを通じて検証され、センサーに展開されます。センサーは、ホスト上のディスクに書き込まれるチャネルファイルを通じて、コンテンツコンフィグレーションデータを保存し、更新を行います。
センサー上のコンテンツインタープリターがチャネルファイルを読み取り、ラピッドレスポンスコンテンツを解釈することで、顧客のポリシー構成に応じて、センサー検知エンジンが悪意のあるアクティビティを観察、検知、防御することができます。コンテンツインタープリターは、問題を引き起こすと考えられるコンテンツから例外を適切に処理するように設計されています。
新しくリリースされるテンプレートタイプには、リソースの使用率、システムパフォーマンスへの影響、イベント量など、さまざまな側面からストレステストが実施されます。各テンプレートタイプに対して特定のテンプレートインスタンスが使用され、関連するデータフィールドのあらゆる値と照合し、システムに悪影響を与える相互作用を特定することで、テンプレートタイプのストレステストが実施されます。
テンプレートインスタンスは、コンテンツコンフィグレーションシステムを使用して作成、構成されます。このシステムには、コンテンツバリデーターが含まれており、公開前にコンテンツの検証チェックを行います。
事象のタイムライン:InterProcessCommunication(IPC)テンプレートタイプのテストとロールアウト
センサーコンテンツリリース:2024年2月28日、センサー 7.11が一般的にお客様に利用可能となり、名前付きパイプを悪用する新たな攻撃のテクニックを検知するための新しいIPCテンプレートタイプが導入されました。このリリースは、上記の「センサーコンテンツ」のセクションで概説されたすべてのセンサーコンテンツのテスト手順に従っています。
テンプレートタイプのストレステスト:2024年3月5日、IPCテンプレートタイプのストレステストが、様々なオペレーティングシステムとワークロードで構成される当社のステージング環境で実施されました。該当のIPCテンプレートタイプはストレステストに合格し、使用可能であることが確認されました。
チャネルファイル291を経由したテンプレートインスタンスリリース:2024年3月5日、ストレステストの成功を受け、コンテンツコンフィグレーションの更新の一部として、IPCテンプレートインスタンスが実稼働環境にリリースされました。その後、2024年4月8日から2024年4月24日の間に、さらに3つのIPCテンプレートインスタンスが展開されました。これらのテンプレートインスタンスは、実稼働環境で期待どおりに稼動しました。
2024年7月19日に発生した内容について
2024年7月19日、2つのIPCテンプレートインスタンスが追加で展開されました。コンテンツバリデーターのバグにより、2つのテンプレートインスタンスのうち1つが、問題のあるコンテンツデータを含んでいるにもかかわらず、検証をパスしました。
テンプレートタイプの初回展開前(2024年3月5日)に実施されたテスト、コンテンツバリデーターで実施されたチェックの信頼性、および以前に成功したIPCテンプレートインスタンスの展開に基づき、これらのインスタンスは実稼働環境に展開されました。
センサーによって受信され、コンテンツインタープリターに読み込まれた際、チャネルファイル291の問題のあるコンテンツが、境界外メモリを読み出し、例外を引き起こしました。この予期せぬ例外は適切に処理されず、Windowsオペレーティングシステムがクラッシュ(BSOD)するという結果を引き起こしました。
再発防止策について
ソフトウェアのレジリエンスとテスト
• 以下のようなテストタイプを使用することで、ラピッドレスポンスコンテンツテストを改善します。
• ローカルデベロッパーテスト
• コンテンツの更新およびロールバックテスト
• ストレステスト、ファジング、フォールトインジェクション
• 安定性テスト
• コンテンツインターフェーステスト
• ラピッドレスポンスコンテンツのコンテンツバリデーターに、さらにバリデーションチェックを追加します。今後、このような問題のあるコンテンツが展開されないよう、新たなチェックを実施中です。
• コンテンツインタープリターにおける既存のエラー処理を強化します。
ラピッドレスポンスコンテンツの展開
• ラピッドレスポンスコンテンツの時差展開戦略を実施し、カナリア展開から始め、センサーベースの大きな部分に徐々に更新を展開します。
• センサーとシステム性能の両方のモニタリングを改善し、ラピッドレスポンスコンテンツの展開中にフィードバックを収集し、段階的なロールアウトを指針とします。
• 更新を展開するタイミングと場所を細かく選択できるようにすることで、お客様がラピッドレスポンスコンテンツ更新の配信をより細かく制御できるようにします。
• コンテンツの更新詳細をリリースノートにて提供します。お客様はリリースノートの受信をご登録いただけます。
2024-07-27 0025 UTCに更新
第三者機関による検証
• 独立した第三者によるセキュリティコードレビューを複数回実施します。
• 開発から展開までのエンドツーエンドの品質プロセスについて、独立したレビューを実施します。
クラウドストライクは、このインシデント事後のプレレビューに加え、調査が完了次第、完全な根本原因分析を公表することをお約束致します。